广受欢迎的以太坊钱包 Metamask 惊传存在重大漏洞!OMNIA Protocol 的共同创办人 Alexandru Lupascu 20 日表示,恶意攻击者可透过贩售 NFT,轻松取得用户的 IP 位址,此举除了可能导致绑架事件发生,更可能衍生出超级 DDos 攻击。
(背景补充:新手教学 | 去中心化钱包 Metamask:注册、交易、手续费评估、纪录查询一次学会)
数据保护节点服务 OMNIA Protocol 的共同创办人 Alexandru Lupascu 1 月 20 日在个人 Medium 上发文指出,Metamask 钱包存在一暴露用户 IP 的漏洞,允许恶意攻击者将使用者的身分与钱包连结,造成重大隐私风险,对此 Metamask 联合创办人 Daniel Finlay 承认此事为真、承诺尽快修补。
过程简单、可能衍生出超级 DDoS 攻击
Alexandru Lupascu 表示,该漏洞的允许恶意攻击者创建一枚 NFT,并在用户使用 Metamask 买进该枚 NFT 时取得用户的 IP 位址,由于 IP 位址具备唯一不可取代性,相当于取得了识别用户身分的能力。
取得用户 IP 的过程相当容易,Alexandru Lupascu 表示由于将完整图片储存在区块链上的成本过于昂贵,现有的做法多为将图片存在远端伺服器,区块链上仅储存该图像的 URL。只要攻击者创建恶意的远端伺服器,当 Metamask 存取该张 NFT 时,用户的 IP 地址就会外洩。
Alexandru Lupascu 进一步解释:
如果恶意攻击者从 IP 中推敲出更多资讯(例如地理位置、GSM 营运商等),可以进一步带来实体风险,例如绑架行为。
该漏洞甚至能进一步衍生出其他攻击方式,Alexandru Lupascu 表示,恶意攻击者可以制作大量 NFT,并将之统一指向单一 URL(某个歹徒想攻击的网站),接著再以空投为由吸引无知用户们上钩,如此以来便可对同一 URL 施以 DDoS 攻击,规模可达到 Mirari 殭尸网路规模的 8 倍(该攻击一度击垮 GitHub、Twitter、Reddit、Netflix、Airbnb 等)。
官方去年就收到通知,却迟未修补,创办人出面道歉
Alexandru Lupascu 表示,自己和另外两位同仁 Iman Hossini、Cristian Lupascu 去年 12 月 14 日便主动联繫 Metamask,并提供了初步的漏洞缓解想法,但对方仅表示会在 2022 Q2 前完成补丁。Alexandru Lupascu 等人认为让庞大的 NFT 用户陷于危机当中是无法接受的,于是决定诉诸公众、公布漏洞施压 Metamask 处理。
目前已知 iOS 的 Metamask 3.7.0 版本有此漏洞,Android 同样遭到波及,且最新的 3.8.0 版本同样也有此问题。
消息传开后,社群开始炎上此事,Alexandru Lupascu 更表示 Metamask 方在联繫前就知道这个漏洞,却迟迟不处理。至此终于逼出 Metamask 的共同创办人 Daniel Finlay,其在推特上承认此事:
是的,这个问题早已广为人知,所以我认为不适用漏洞披露。
不过,Alex 指责我们没有尽快解决这个问题是正确的。
我们现在立刻动工,感谢你的指教,我们很需要他。
尽管 Daniel Finlay 紧急止血,但已有乡民愤怒的表示:
为什麽不早点解决?是不是还有其他漏洞,而你正坐视不理?
